服务器托管及服务器租用领先服务商—广东IDC网

    关于我们
    网站首页 > 新闻资讯 > 网站动态

    关于新版等级保护基本要求应用和数据安全的建议

    最近在研究OWASP应用安全问题的TOP 10 2017版本,根据已发布的前10类安全问题原理,与新版等级保护基本要求中的“应用和数据安全”进行了对应:

    广东服务器托管|广州服务器托管|深圳服务器托管|广州服务器租用|广州电信机房|深圳电信机房|广州双线机房|广州BGP机房|广东idc|广东BGP机房

    发现“A9使用了含有已知漏洞的组件”类问题,在基本要求中没有找到合适的对应点,而这类问题在现实中经常出现而且危害很严重,比如近年来导致大量网页被黑、服务器被控制的Struts 2漏洞、前几年编辑器Fckeditor上传webshell木马控制服务器等,我认为都属于应用系统组件的漏洞。所以建议是否考虑在“应用和数据安全”中的“软件容错”部分增加一条针对软件组件的升级与补丁更新的基本要求,比如“应及时升级应用系统组件补丁,修补存在的已知安全漏洞”。

    注解:

    A9使用了含有已知漏洞的组件:

    如果使用含有已知漏洞的组件(例如:库、框架和其他软件模块),这样的攻击可以造成严重的数据丢失或服务器接管。使用含有已知漏洞的组件的应用程序和API,可能会破坏应用程序防御、造成各种攻击并产生严重影响。

    OWASP组织最具权威的就是其"十大安全漏洞列表OWASP Top 10"。这个列表总结了Web应用程序最可能、最常见、最危险的十大漏洞,可以帮助IT公司和开发团队规范应用程序开发流程和测试流程,提高Web产品的安全性。


    广东IDC网可做:三级信息等保测评认证:http://www.gdidc.com.cn/dengbao/ 测评认证流程介绍




    广东IDC网部分文章搜集自互联网,如有侵权请联系我们删除。

    部分标注原创内容,如转载请注明出处:www.gdidc.com.cn 广东IDC网

    备案帮助 数据中心技术 服务器租用资讯 服务器托管资讯  百科  问答

    广而告之 行业资讯 网站动态 十万个为什么 云主机 数据中心


    Powered by 广东IDC网 6.1.3 ©2008-2018 www.gdidc.com.cn